你这个问题其实是两个问题1，cookies和session的方式安全吗？安全，不然也没有什么其他办法用户记录用户状态啊。所以用户登录成功以后在服务端生成session并在客户端生成cookies，让它们彼此联系用户下次用户从客户端请求服务器端的时候携带cookies能找到session。但是你需要使用一个随机的或者UUID等不方便识别的作为cookies存在客户端，然后自己手动绑定其和session的关系。当然使用HTTPS以后会更安全。2，有的接口需要有的接口，可以使用拦截器通过API的mapping控制精细的权限校验。
                            

Cookie存身份认证的信息，比方说角色，服务器可以生成cookie，通过key验证是否为自己生产的cookie，没有cookie或者不是服务器生成的cookie就是未登录，遇到权限页面可以通过解析cookie中的信息（即role）来判断是否允许放行，没有必要存取重要的用户信息，建议研究一下jwt和无状态授权